Nume:TR/Spy.ZBot.R
Descoperit pe data de:26/09/2007
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Nu
Versiune IVDF:7.00.00.16 - mercredi 26 septembre 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.r
   •  F-Secure: Trojan-Spy.Win32.Zbot.r
   •  Sophos: Troj/Zbot-A


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\ntos.exe



Sterge urmatorul fisier:
   • %cookies%\*.*



Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\wsnpoem\audio.dll
   • %SYSDIR%\wsnpoem\video.dll




Incearca sa descarce un fisier:

– Adresele sunt urmatoarele:
   • http://81.95.145.241/**********/ldr.exe
   • http://66.235.175.5/**********/ldr.exe
Fisierul este stocat pe hard disc la: %TEMPDIR%\18.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • Userinit = %SYSDIR%\userinit.exe,
   Noua valoare:
   • Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   Noua valoare:
   • UID = %numele computerului%_%numar hexazecimal%

 Backdoor Deschide porturile:

– svchost.exe port TCP aleator pentru a oferi functionalitate de backdoor.
– svchost.exe port TCP aleator pentru a functiona ca server proxy.
– svchost.exe port TCP aleator pentru a functiona ca un server proxy Socks 4,


Servere contactate:
Unul dintre:
   • http://81.95.145.241/**********/cfg.bin
   • http://66.235.175.5/**********/cfg.bin

Urmatorul:
   • http://75.126.64.11/**********/s.php

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • svchost.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Andrei Gherman le mercredi 24 octobre 2007
Description mise à jour par Andrei Gherman le mercredi 24 octobre 2007

Retour . . . .